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Menetelma ja jarjestelma tiedonsiirtolaitteen kayttajan autenti- 
kointiin 

Ala 

KeksinnSn kohteina ovat menetelma tiedonsiirtolaitteen kayttajan 
autentikointiin ja jarjestelma tiedonsiirtolaitteen kayttajan autentikointiin. 

Tausta 

Tiedonsiirtolaitteen kayttajan autentikointiin tunnetaan erilaisia me- 
netelmia. Eras autentikointimenetelma perustuu tiedonsiirtolaitteeseen sijoite- 
tun SIM-kortin (Subscriber Identity Module) kayttofln, talloin kuitenkin tiedon- 
siirtolaitteessa taytyy olla alykortin lukija. Ratkaisua ei myoskaan ole helppo 
soveltaa tilanteissa, joissa halutaan tilapaisesti, ehka jopa vain yhden kerran, 
kayttaa tiedonsiirtolaitteella jotakin tiedonsiirtopalvelua, silla sehan edellyttaa 
SIM-kortin toimittamista kayttajan tiedonsiirtolaitteeseen. 

Tahan viitteeksi otettavassa US-patentissa 6,112,078 kuvataan il- 
man SIM-korttia toimiva ratkaisu, jossa ainakin osa autentikointidatasta lahete- 
taan tiedonsiirtolaitteen kayttajan hallussa olevaan matkapuhelimeen tai haku- 
laitteeseen. Ratkaisussa kaikkea autentikointidataa, esimerkiksi kayttajatun- 
nusta ja salasanaa, ei laheteta samaa siirtotieta pitkin tietoturvasyista. 

Lyhyt selostus 

Keksinnon tavoitteena on tarjota parannettu menetelma tiedonsiirto- 
laitteen kayttajan autentikointiin ja parannettu jarjestelma tiedonsiirtolaitteen 

kayttajan autentikointiin. 

Keksinnon eraana puolena esitetaan menetelma tiedonsiirtolaitteen 
kayttajan autentikointiin, joka menetelma kasittaa: muodostetaan tiedonsiirto- 
laitteella tiedonsiirtoyhteys palvelupisteeseen; syStetaan palvelupisteeseen 
matkaviestinjarjestelman tilaajan tunnistetieto; tarkistetaan matkaviestinjarjes- 
telmasta matkaviestinjarjestelman tilaajan tunnistetiedon kayttooikeus palvelu- 
pisteeseen; ja jos kayttSoikeus on voimassa, generoidaan salasana, lahete- 
taan salasana matkaviestinjarjestelman tilaajan tunnistetietoa vastaavaan tilaa- 
japaatelaitteeseen, ja sisaankirjaudutaan tiedonsiirtolaitteella palvelupistee- 
seen kayttaen salasanana tilaajapaatelaitteeseen toimitettua salasanaa. 

Keksinnon eraana puolena esitetaan jarjestelma tiedonsiirtolaitteen 
kayttajan autentikointiin, joka jarjestelma kasittaa tiedonsiirtolaitteen, tiedonsiir- 
tolaitteeseen ensimmaisella tiedonsiirtoyhteydella kytkettavissa olevan palve- 
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lupisteen, ja palvelupisteeseen toisen tiedonsiirtoyhteyden valityksella kytketyn 
autentikointipalvelimen; ja palvelupiste on konfiguroitu vastaanottamaan en- 
simmaista tiedonsiirtoyhteytta pitkin tiedonsiirtolaitteella sydtetty matkaviestin- 
jarjestelman tilaajan tunnistetieto, ja lahettamaan matkaviestinjarjestelman ti- 
laajan tunnistetieto toista tiedonsiirtoyhteytta pitkin autentikointipalvelimelle; 
autentikointipalvelin on konfiguroitu tarkistamaan kolmatta tiedonsiirtoyhteytta 
kayttaen matkaviestinjarjestelmasta matkaviestinjarjestelman tilaajan tunniste- 
tiedon kayttSoikeus palvelupisteeseen, ja jos kayttSoikeus on voimassa, gene- 
roimaan salasana ja lahettamaan salasana matkaviestinjarjestelman tilaajan 
tunnistetietoa vastaavaan tilaajapaatelaitteeseen; ja tiedonsiirtolaite on konfi- 
guroitu palvelupisteeseen sisaankirjauduttaessa kayttamaan salasanana tilaa- 
japaatelaitteeseen toimitettua salasanaa. 

KeksinnSn edulliset suoritusmuodot ovat epaitsenaisten patenttivaa- 

timusten kohteena. 

Keksinte perustuu siihen, etta tiedonsiirtolaitteen kayttajan autenti- 
koinnissa hyodynnetaan matkaviestinjarjestelman tilaajan tunnistetietoa. Aina- 
kin salasana lahetetaan matkaviestinjarjestelman tilaajan tunnistetietoa vas- 
taavaan tilaajapaatelaitteeseen. Kyseiselle matkaviestinjarjestelman tilaajan 
tunnistetiedolle on merkitty kayttooikeus haluttuun palvelupisteeseen. 

Keksinnon mukaisella menetelmalla ja jarjesteimalla saavutetaan 
useita etuja. Tiedonsiirtolaitteen kayttajan autentikointi ei edellyta ylimaaraista 
laitteiston tai ohjelmiston kayttSa tiedonsiirtolaitteessa, ainoastaan matkavies- 
tinjarjestelman tilaajapaatelaitteen omistamista tai lainaamista. Ratkaisu toimii 
myos tilaajapaatelaitteen verkkovierailun (Roaming) aikana. Ratkaisu on my6s 
helppo palvelupistetta hallinnoivalle operaattorille, kayttooikeuden antaminen 
(Provisioning) ei edellyta esimerkiksi SIM-kortin toimittamista kayttajalle, mutta 
kuitenkin autentikointi tavallaan perustuu olemassaolevaan, tilaajapaatelaittee- 
seen sijoitettuun SIM-korttiin. 

Kuvioluettelo 

Keksintoa selostetaan nyt lahemmin edullisten suoritusmuotojen yh- 
teydessa, viitaten oheisiin piirroksiin, joissa 

kuvio 1 on yksinkertaistettu lohkokaavio havainnollistaen jarjestel- 
maa tiedonsiirtolaitteen kayttajan autentikointiin; 

kuvio 2 on vuokaavio havainnollistaen menetelmaa tiedonsiirtolait- 
teen kayttajan autentikointiin; ja 



kuvio 3 on signaalisekvenssikaavio kuvaten tiedonsiirtolaitteen kayt- 
tajan autentikoinnissa eri verkkoelementtien valilla lahetettavaa informaatiota. 

Suoritusmuotojen kuvaus 

Kuviossa 1 kuvataan yksinkertaistettu esimerkki jarjestelmasta tie- 
donsiirtolaitteen 100 kayttajan autentikointiin, lisaksi on kuvattu jarjestelman 
yhteydet muihin tarvittaviin osiin, joiden kanssa vaihdetaan informaatiota, ja 
joita kaytetaan tiedonsiirtoyhteyksien toteuttamiseen. 

Osat voidaan jakaa neljaan paaosaan: kayttajan hallussa olevat lait- 
teet 104, tiedonsiirtolaitetta 100 palveleva tiedonsiirtoverkko 118, vierailtava 
matkaviestinjarjestelma 126, ja kotimatkaviestinjarjestelma 134. 

Tiedonsiirtoverkko 118 kasittaa tiedonsiirtolaitteeseen 100 ensim- 
maisella tiedonsiirtoyhteydella 102 kytkettavissa olevan palvelupisteen (Servi- 
ce Access Point, SAP) 110. Palvelupiste 110 muodostaa ns. paasyvyohykkeen 
(Access Zone, AZ, tunnetaan myos nimella Hotspot), esimerkiksi toimistossa, 
yliopiston kampusalueella, hoteilissa tai lentokentalla, jossa lahiverkkoyhteyk- 
sia tarjotaan kayttajille. Esimerkiksi kannettavan tietokoneen kayttajille voidaan 
siten tarjota nopea langaton laajakaistainen palvelu paasyvyohykkeen valityk- 
sella. Lisaksi tiedonsiirtoverkko 118 kasittaa palvelupisteeseen 110 toisen tie- 
donsiirtoyhteyden valityksella kytketyn autentikointipalvelimen 114. 

Eraassa suoritusmuodossa ensimmainen tiedonsiirtoyhteys 106 on 
radioyhteys. Radioyhteys 106 voidaan toteuttaa siten, etta palvelupiste 110 on 
konfiguroitu toteuttamaan radioyhteys 106 langattomalla lahiverkolla (WLAN, 
Wireless Local Area Network). Eraassa suoritusmuodossa palvelupiste 110 
kasittaa lyhyen kantaman radiolahetinvastaanottimen radioyhteyden 106 to- 
teuttamiseksi. Lyhyen kantaman radiolahetinvastaanotin voi olla esimerkiksi 
Bluetooth®-teknologian mukainen radiolahetinvastaanotin, tai IEEE:n (The 
Institute of Electrical and Electronics Engineers, Inc.) standardin 802.11 tai 
802.11b mukainen langaton lahiverkko. 

Palvelupisteen 110 tehtavana on toimia porttina, jonka kautta tie- 
donsiirtoverkon 118 palvelut tarjotaan tiedonsiirtolaitteelle 100. Jos ensimmai- 
nen tiedonsiirtoyhteys 106 toteutetaan langattomalla lahiverkolla, palvelupis- 
teena 110 voidaan kayttaa langattoman lahiverkon palvelupistetta, esimerkiksi 
Nokia® A032-tyyppista langattoman lahiverkon palvelupistetta, joka toimii lan- 
gattomana Ethemet-siltana lahiverkkoon. Palvelupiste 110 kasittaa talloin ra- 
diomodulin radioyhteyksien toteuttamiseksi, ja radioyhteyksien tiedon salauk- 
seen (Encryption) tarvittavat laitteistot ja ohjelmistot. Palvelupiste 110 voi my6s 



sisaltaa ulkoisen modeemin, jolla voidaan toteuttaa soittoyhteys (Dial-up Ac- 
cess) Internet-palvelun tarjoajaan (Internet Service Provider, ISP), jollo.n pal- 
velupiste 110 voi sisaltaa paikallisverkon suojelemiseksi palomuunn, esimer- 
kiksi NAT-teknologialla (Network Address Translation) toteutetun palomuunn. 
5 Tiedonsiirtoverkko 118 voi kasittaa my5s palvelupisteen 110 ja au- 

tentikointipalvelimen 114 valissa paasykontrollerin (Access Controller, AC) 
112 joka toimii yhdyskaytavana paasyvyohykkeen ja Internets valilla. T.edon- 
siirtoverkosta 118 voidaan siis paasykontrollerin 112 valityksella paasta my6s 
iohonkin VWWV-palvelimeen (World-Wide Web), jonka kanssa tiedons.irtola.te 
io 100 voi autentikoinnin jalkeen vaihtaa informaatiota. Paasykontrollerina 112 
voidaan kayttaa esimerkiksi Nokia® P022-tyy PP ista p^asykontrolleria, joka 
vastaa kayttajien autentikoinnista, monitoroi verkon kayttoa reaaliajassa ]a ke- 
r§a laskentatietoa laskutusta varten. 

Eraassa suoritusmuodossa autentikointipalvelin 114 on AAA- 
15 palvelin (Authentication, Authorization, and Accounting), jolloin kayttajan 
todentamisen (Authentication), eli kayttajan vaitetyn identiteetin vahvistam.sen 
lisaksi se huolehtii kayttovaltuuksien myontamisesta (Authorization) jarjestel- 
maan ja laskennasta (Accounting) jarjestelman kayton laskuttamiseks.. Auten- 
tikointipalvelin 114 voi talloin kayttaa IETF:n (Internet Engineering Task Force) 
20 maarittelemaa AAA-protokollaa, esimerkiksi Radius-protokollaa (Remote Aut- 
hentication Dial-in User Service, RADIUS) tai Diameter-protokollaa. Langatto- 
massa lahiverkossa autentikointipalvelin 114 siirtaa autentikointidataa ja lasku- 
tustietoa tiedonsiirtoverkon 118 ja matkaviestinjarjestelman 126, 134 val.lla. 

Eraassa suoritusmuodossa ensimmainen tiedonsiirtoyhteys 106 on 
25 langallinen. Tiedonsiirtoyhteys voidaan toteuttaa tallSin milla tahansa tunnetul- 
le verkkoteknologialla, joka mahdollistaa kaksisuuntaisen langallisen t.edons..r- 
tosiirron palvelupisteen 110 ja tiedonsiirtolaitteen 100 valilla. Esimerkkina tal- 
laisesta verkkoteknologiasta voidaan mainita lEEE.n 802.3 standardin, el. Et- 
hernet-standard in, mukainen langallinen lahiverkko, jossa langallisuus toteute- 
30 taan esimerkiksi koaksiaalikaapelia tai kierrettya paria kayttaen. 

Kuviossa 1 on siis kuvattu eraita osia vierailtavasta matkav.est.njar- 
jestelmasta 126 ja kotimatkaviestinjarjestelmasta 134, silla eraassa suoritus- 
muodossa ensimmainen tiedonsiirtoyhteys 106 muodostetaan tilaajapaatelart- 
teen 102 verkkovierailun aikana. Verkkovierailutoiminto on funktionaahnen en- 
35 titeetti liikkuvuuden hallinnassa (Mobility Management, MM), joka mahdoll.staa 
oikean puhelun vayloityksen (Routing) kayttajan liikkuessa tilaajapaatela.tte.- 
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neen 102 verkosta toiseen, esimerkiksi kotimaassaan olevasta kotimaisen 
operaattorin hallinnoimasta matkaviestinjarjestelmasta 134 ulkomailla olevaan 
ulkomaisen operaattorin hallinnoimaan matkaviestinjarjestelmaan 126. Myos 
sellainen suoritusmuoto on mahdollinen, jossa tarvitaan vain kotimatkaviestin- 
5 jarjestelma 134, esimerkiksi kayttajan pysytellessa kotimaassaan. TallSin jat- 
kossa esitettavan selostuksen kannalta kuviossa 1 esitettavien matkaviestinjar- 
jestelmien 126, 134 osat ovat soveltuvin osin samassa matkaviestinjarjestel- 
massa. 

Matkaviestinjarjestelma 126, 134 voi olla mika tahansa tunnettu ra- 

10 diojarjestelma, jossa on mahdollista siirtaa informaatiota matkaviestinjarjestel- 
man verkko-osasta siihen radioyhteydella 108 kytkettyyn tilaajapaatelaittee- 
seen 104. Esimerkkeina matkaviestinjarjestelmista voidaan mainita toisen su- 
kupolven GSM (Global System for Mobile Communications), 2,5:n sukupolven 
EDGE-tekniikkaa (Enhanced Data Rates for Global Evolution) tiedonsiirtono- 

15 peuden kasvattamiseksi kayttava GSMraan perustuva GPRS-jarjestelma (Ge- 
neral Packet Radio System) tai EGPRS-jarjestelma (Enhanced GPRS), ja kol- 
mannen sukupolven matkaviestinjarjestelma, joka tunnetaan ainakin nimilla 
IMT-2000 (International Mobile Telecommunications 2000) ja UMTS (Universal 
Mobile Telecommunications System). Suoritusmuodot eivat kuitenkaan rajau- 

20 du vain naihin esimerkkeina mainittuihin jarjestelmiin, vaan alan ammattilainen 
voi soveltaa opetuksia my6s muissa vastaavat ominaisuudet sisaltavissa radio- 
jarjestelmissa. Matkaviestinjarjestelmasta on tarvittaessa saatavissa Hsatietoja 
spesifikaatioista, esimerkiksi GSM-jarjestelman tai UMTS-jarjestelman spesifi- 
kaatioista, ja alan kirjallisuudesta, esimerkiksi teoksesta Juha Korhonen: Intro- 

25 duction to 3G Mobile Communications. Artech House 2001. ISBN 1-58053- 
287-X. 

Palvelupiste 110 on konfiguroitu vastaanottamaan ensimmaista tie- 
donsiirtoyhteytta 106 pitkin tiedonsiirtolaitteella 100 syotetty matkaviestinjarjes- 
telman tilaajan tunnistetieto, ja lahettamaan matkaviestinjarjestelman tilaajan 

30 tunnistetieto toista tiedonsiirtoyhteytta pitkin autenttkointipalvelimelle 114. 
Eraassa suoritusmuodossa matkaviestinjarjestelman 134 tilaajan tunnistetieto 
on matkaviestintilaajan kansainvalinen ISDN-numero (Mobile Subscriber Inter- 
national Integrated Services Digital Network Number, MSISDN), joka yksilSi 
tilaajan maailmanlaajuisesti yksikasitteisesti, silla MSISDN muodostuu kolmes- 

35 ta osasta: maatunnus, kansallinen verkkotunnus, ja tilaajanumero. 
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Autentikointipalvelin 114 on konfiguroitu tarkistamaan kolmatta tie- 
donsiirtoyhteytta kayttaen matkaviestinjarjestelmasta 134 tilaajan tunnistetie- 
don kayttooikeus palvelupisteeseen 110, ja jos kaytteoikeus on voimassa, ge- 
neroimaan salasana ja lahettamaan salasana matkaviestinjarjestelman 134 

5 tilaajan tunnistetietoa vastaavaan tilaajapaatelaitteeseen 102. Autentikointipal- 
velin 114 voi myos generoida tarvittavan kayttajatilin (User Account), ellei sita 
jo ole ennestSan olemassa. Tiedonsiirtolaite 100 on konfiguroitu palvelupistee- 
seen 110 sisaankirjauduttaessa (Login) kayttamaan salasanana tilaajapaate- 
laitteeseen 102 toimitettua salasanaa. Generoitu salasana voi olla merkkijono 

10 (Character String), joka sisaltaS esimerkiksi aakkosia ja/tai numeroita ja/tai 
erilaisia erikoismerkkeja. Merkkijono voidaan maaritella esimerkiksi ASCII- 
koodeja (American Standard Code for Information Interchange) kayttaen. Si- 
saankiijautuminen voidaan suorittaa esimerkiksi WWW-dialogia tai IEEE:n 
802.1x-standardin mukaisesti tiedonsiirtolaitteen kayttojarjestelman dialin- 

15 dialogia kayttaen. 

Tiedonsiirtolaite 100 on sellainen, etta se kykenee muodostamaan 
kaksisuuntaisen tiedonsiirtoyhteyden 106 palvelupisteeseen 110. Tiedonsiirto- 
laite voi siten olla esimerkiksi kannettava tietokone, joka on varustettu Ether- 
net-kortilla, Bluetooth®-lahetinvastaanottimella, tai langattoman lahiverkon to- 

20 teuttavalla kortilla, jossa on radioiahetinvastaanotin, esimerkiksi lyhyenkanta- 
man radiolahetinvastaanotin. Eras esimerkki lahiverkon toteuttavasta kortista 
on Nokia® C110/C111-tyyppinen langaton lahiverkkokortti, kuitenkin on huo- 
mattava, etta jarjestelma kSyttajan autentikointiin toimii ilman kyseisissa kor- 
teissa olevaa SIM-kortin lukijaa. Toinen esimerkki on Nokia® D211-tyyppinen 

25 radiokortti, joka toimii useissa eri moodeissa tiedonsiirtoyhteyden toteuttami- 
seksi: langaton lahiverkko, GPRS, ja HSCSD (High Speed Circuit Switched 
Data). 

Tilaajapaatelaite 102 on sellainen, etta silla voidaan toteuttaa langa- 
ton tiedonsiirtoyhteys matkaviestinjarjestelmaan 126. Esimerkiksi UMTS- 

30 jarjestelman tilaajapaatelaite 102 koostuu kahdesta osasta: matkaviestinlaite 
(Mobile Equipment, ME) ja UMTS-tilaajan tunnistusyksikkS (UMTS Subscriber 
Identity Module, USIM) eli SIM-kortti. SIM-kortti sisaltaa kayttajaan liittyvaa 
tietoa, seka erityisesti tietoturvallisuuteen liittyvaa tietoa, esimerkiksi salausal- 
goritmin. GSM-jarjestelman tilaajapaatelaite 102 kayttaa luonnollisesti GSM- 

35 jarjestelman omaa SIM-korttia. Tilaajapaatelaite 102 sisaitaa ainakin yhden 
lahetinvastaanottimen, jolla toteutetaan radioyhteys 102 matkaviestinjarjestel- 



man 126 radioliityntaverkkoon tai tukiasemajarjestelmaan. Kuviossa 1 on ku- 
vattu matkaviestinjarjestelman 126 tukiasema 120, johon tilaajapaatelaite 102 
muodostaa radioyhteyden 108. Yksi tilaajapaatelaite 102 voi sisaltaa ainakin 
kaksi erilaista tilaajan tunnistusyksikkoa. Lisaksi tilaajapaatelaite 102 sisaltaa 
antennin, kayttoliittyman, seka akun. Nykyisin tilaajapaatelaitteita 102 on mo- 
nenlaisia, esimerkiksi autoon asennettuja seka kannettavia. Tilaajapaatelaittei- 
siin 102 on myos toteutettu ominaisuuksia, jotka ovat paremmin tunnettuja 
henkilokohtaisista tai kannettavista tietokoneista. Eras esimerkki tallaisesta 
tilaajapaatelaitteesta 102 on Nokia® Kommunikaattori®. 

Kuvion 1 esimerkissa kayttajan hallussa olevat laitteet 104, eli tie- 
donsiirtolaite 100 ja tilaajapaatelaite 102 on kuvattu erillisina laitteina, mutta 
eraassa suoritusmuodossa ne voivat sijaita yhdessa fyysisess§ laitteessa, esi- 
merkiksi Nokia® Kommunikaattori®-tyyppisessa laitteessa, jossa tiedonsiirto- 
laitteelta 100 vaadittavat ominaisuudet on toteutettu esimerkiksi langattomalla 
lahiverkkokortilla ja tilaajapaatelaitteelta 102 vaadittavat ominaisuudet on to- 
teutettu laitteessa olevan matkaviestinjarjestelman tilaajapaatelaitteella ja mat- 
kaviestinjarjestelman operaattorin antamalla SIM-kortilla. TSIIaisessa yhdiste- 
tyssa laitteessa voidaan autentikoinnin suorittamiseksi tarvittavien tietojen ka- 
sittelya automatisoida, esimerkiksi siten, etta tilaajapaateiaitteeseen 102 vas- 
taanotettu salasana siirretaan automaattisestitiedonsiirtolaitteen 100 sisaankir- 

jautumisdialogiin. 

Eraassa suoritusmuodossa autentikointipalvelin 114 on konfiguroitu 
lahettamaan salasana tilaajapaateiaitteeseen 102 pakettikytkentaisena viesti- 
na. Eraassa suoritusmuodossa autentikointipalvelin 114 on konfiguroitu lahet- 
tamaan salasana tilaajapaateiaitteeseen 102 lyhytsanomassa (Short Message, 
SM). Lyhytsanoma voidaan toteuttaa esimerkiksi tekstiviestipalvelua (Short 
Message Service, SMS) kayttaen. Kuviossa 1 on kuvattu matkaviestinjarjestel- 
man 126 lyhytsanomapalvelukeskus (Short Message Service Centre, SMSC) 
122, jota kautta lyhytsanomat lahetetaan, ja johon ne voidaan tailettaa, ellei 
niita' saada heti toimitettua vastaanottajalle 102. Periaatetasolla lyhytsanoma- 
palvelukeskus 122 ei kuulu matkaviestinjarjestelmaan 126, vaikka se usein 
integroidaankin matkapuhelinkeskukseen (Mobile Service Switching Center, 
MSC). Myos muita tapoja tekstin sisaltavan viestin lahettamiseen voidaan kayt- 
taa, esimerkiksi MMS.aa (Multimedia Messaging Service) kayttaen. MMS on 
uudenlainen viestipalvelu, joka lahetystavaltaan vastaa SMS-viestia. MMS- 
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viesti voi kuitenkin sisaltaa yhta aikaa kolme eri elementtia: tekstin, aaniviestin 
ja kuvan. 

ErSassa suoritusmuodossa autentikointipalvelin 114 on palvelupis- 
teen 110 kayttooikeuden tarkistamiseksi konfiguroitu lahettamaan kysely mat- 

5 kaviestinjarjestelman 134 kotirekisteriin 130. Kuviossa 1 vierailtavasta matka- 
viestinjarjestelmasta 126 kuvataan vain tukiasema 120 ja lyhytsanomapalvelu- 
keskus 122; muuta infrastruktuuria kuvataan lohkolla 124. Vierailtavan matka- 
viestijarjestelman 126 infrastruktuurista on tiedonsiirtoyhteys, esimerkiksi ITU- 
T.n, eli Kansainvalisen Televiestintaliiton (International Telecommunication 

10 Union, ITU) telestandardointisektorin merkinantojarjestelma nro 7:aa (SS7, 
ITU-T No. 7) 128 kayttaen kotimatkaviestinjarjestelmaan 134, josta on kuvattu 
vain kotirekisteri (Home Location Register^ HLR) 130, johon kaikkien matka- 
viestinjarjestelman 134 tilaajien tilaajaparametrit on pysyvasti tallennettu. Kos- 
ka kotirekisteri 130 on yleensa matkapuhelinkeskuksen yhteydessa, on kuvi- 

15 ossa 1 lohkoon 130 sisallytetty my6s matkapuhelinkeskus. 

Eraassa aiemmin mainitussa suoritusmuodossa matkaviestinjarjes- 
telman 134 tilaajan tunnistetieto on matkaviestintilaajan kansainvalinen ISDN- 
numero. Talloin autentikointipalvelin 114 voidaan konfiguroida kyselyssa ensin 
selvittamaan matkaviestinjarjestelman 134 kotirekisterista 130 matkaviestinti- 

20 laajan kansainvalista ISDN-numeroa Vastaavan kansainvalisen matkaviestinti- 
laajan tunnuksen (International Mobile Subscriber Identity, IMSI), ja sitten sel- 
vittamaan tilaajatiedot, jotka sisaltavat kayttQoikeuden maarittelyn, matkavies- 
tinjarjestelman 134 kotirekisterista 130 kansainvalisen matkaviestintilaajan tun- 
nuksen perusteella. 

25 Eraassa suoritusmuodossa jarjestelma kasittaa lisaksi laskutuspal- 

velimen 116, joka on konfiguroitu muodostamaan ensimmaisen tiedonsiirtoyh- 
teyden 106 laskutustiedot, ja siirtamaan laskutustiedot matkaviestinjarjestel- 
maan 134, jossa laskutustiedot laskutetaan matkaviestinjarjestelman 134 tilaa- 
jan tunnistetiedolle osoitetussa laskussa. Kuvion 1 esimerkissa meilla on tilan- 

30 ne, jossa tilaajapaatela'rte 102 on vierailtavan matkaviestinjarjestelman 126 
alueella, jolloin laskutuspalvelimesta 116 siirretaan laskutustiedot kotimatka- 
viestinjarjestelman 134 laskutuspalvelimeen 132. Laskutustietojen siirto voi- 
daan tehda esimerkiksi IMSI:in kohdistettuja laskentatietueita (Charging Re- 
cord, CDR) kayttaen. 

35 Eraassa suoritusmuodossa palvelupiste 110 on konfiguroitu sailyt- 

tamaan aluksi muodostettu tiedonsiirtolaitteen 100 ja palvelupisteen 110 vaii- 
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nen ensimmainen tiedonsiirtoyhteys 106 sisaankiijautumiseen "M*™** 
suoritusmuodossa ensimmaista tiedonsiirtoyhteytta 106 er sns katkarsta mrs- 
saan vaiheessa, jolloin pelkka laittoman tunkeutujan suorittama salasanan 
kaappaaminen ei vieia aiheuta suurta tietoturvariskia, silia tunkeutujan tay^js, 

, myas kyeta kaappaamaan ensimmainen tiedonsiirtoyhteys 106 Tredons .rtoyh- 
leys 106 kayttaa esimerkiksi SSL-protokollaa (Secure Sockets Layer) TCP- 
vhteyksien (Transmission Control Protocol) autentikointiin ja salaamrseen^ 
Sstr^asU voidaan kayttaa myos protokollaa nimeitaan TLS (Transport 
Layer Security). Kaytettavat salausavaimet voidaan johtaa TLS-autent,ko,nn,s- 

0 li vahvolKa saiasana-autenttkointiprotokolliila (esimerkiks I Secure Rem*e 
Password -protokolla tai Encrypted Key Exchange -protokolla) iopa pelkasta 

Sa ' aSanaS suorttusmuodossa autentikointipaivelin 114 on kontiguroitu 
lahettamaan palvelupisteen 110 vaiitykselia toinen salasana tiedonsiirtolartteel- 
„ e 2—ista tiedonsiirtoyhteytta 106 kayttaen, ja tiedonsiirto,a,te 100on 
Ronfiguroitu kayttamaan sisaankirjautumisessa myos toista ; a ".~ 
kiksi srten etta kaksi salasanaa perakkain asetettuna muodostaa vaadrtun sa 
TanaTTama suoritusmuoto varmistaa, etta toista salasanaa tarjoava kaytta- 
|a on same kayttaja, joka tilasi salasanan tiedonsiirto.amee.la 100 tilaajapaate- 

20 ' a « eeseen E 1 ° 2 assa suoritusmuodossa autentikointipaivelin 114 on kontiguroitu 

.ahettamaan palvelupisteen 110 vaiitykselia vamennastunnis, f_^' rt *3 
teelle 100 ensimmaista tiedonsiirtoyhteytta 106 kayttaen, ,a lahettamaan sa- 
,asanan lahetyksen yhteydess* tilaaiapaateiaitteelle 102 same vam— un- 
25 niste Kayttaia vol sitten verrata kahta, eri tiedonsiirtotefta saamiansa varmen- 
nulnnSa kaskenaan. ja kayttaa salasanaa vain jos molemmat vastean- 
otetut varmennustunnisteet ovat samat. Tama suoritusmuoto *™<f*^ 
jaile, etta salasana tuli tilaajapaatelaitteeseen 102 samasta lahteesta 114, )os- 
tahansitapyysitiedonsiirtolaitteellaanlOO. 

Massa suoritusmuodossa tiedonsiirtolaite 100 on konfigurortu pal- 
velupisteeseen 110 sisaankirjauduttaessa kayttamaan kayttajatunnuksena 
matkaviestinjarjestelman tilaajan tunnistetietoa, esimerkiksi jo *nniM* 
tua matkaviestintilaajan kansainvalista ISDN-numeroa, tai srtten va,kka P a kan- 
sainvalista matkaviestintilaajan tunnusta, joka voi tosi ^ olla ; a,ke ^ ,n ni ^; 
35 jan selville saatavissa kuin matkaviestintilaajan kansamvairnen ISDN-numero. 
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Taman suoritusmuodon etuna on se, ettei jarjestelman tarvitse siirtaa kayttaja- 

tunnusta kayttajaile pain. 

Myos sellaiset suoritusmuodot ovat kuitenkin mahdollisia, joissa 
kayttajatunnus siirretaan jarjestelmasta kayttajaile pain. Talloin kayttajatunnuk- 
sen ei alunperin tarvitse olla kayttajan tiedossa, vaan se voidaan generoida 
esimerkiksi autentikointipalvelimessa 114. ErSassa suoritusmuodossa autenti- 
kointipalvelin 114 on konfiguroitu lahettamaan kayttajatunnus matkaviestinjar- 
jestelman 134 tilaajan tunnistetietoa vastaavaan tilaajapaatelaitteeseen 102, ja 
tiedonsiirtolaite 100 on konfiguroitu palvelupisteeseen 110 sisaankirjaudutta- 
essa kayttamaan kayttajatunnuksena tilaajapaatelaitteeseen 102 toimitettua 
kayttajatunnusta. Eraassa suoritusmuodossa autentikointipalvelin 1 14 on kon- 
figuroitu lahettamaan palvelupisteesta 110 kayttajatunnus tiedonsiirtolaitteelle 
100 ensimmaista tiedonsiirtoyhteytta 106 pitkin, ja tiedonsiirtolaite 100 on kon- 
figuroitu palvelupisteeseen 110 sisaankirjauduttaessa kayttamaan kayttajatun- 
nuksena tiedonsiirtolaitteeseen 100 toimitettua kayttajatunnusta. 

Edelia on kuvattu miten palvelupistetta 110, autentikointipalvelinta 
114, ja tiedonsiirtolaitetta 100 on konfiguroitava, jotta jarjestelma tiedonsiirto- 
laitteen 100 kayttajan autentikointiin voidaan toteuttaa. Kyseiset laitteet sisaita- 
vat niiden toimintaa ohjaavia ohjausosia, jotka nykyisin toteutetaan yleensa 
prosessorina ohjelmistoineen, mutta myos erilaiset laitteistototeutukset ovat 
mahdollisia, esimerkiksi erillisista logiikkakomponenteista rakennettu piiri tai 
yksi tai useampi asiakaskohtainen integroitu piiri (Application-Specific Integra- 
ted Circuit, ASIC). Myos naiden eri toteutustapojen sekamuoto on mahdollinen. 
Alan ammattilainen huomioi konfiguroinnin suorittavan toteutustavan valinnas- 
sa esimerkiksi laitteen koolle ja virrankulutukselle asetetut vaatimukset, tarvit- 
tavan prosessointitehon, valmistuskustannukset seka tuotantomaarat. 

Seuraavaksi kuvion 2 vuokaavioon viitaten selostetaan menetelmaa 
tiedonsiirtolaitteen kayttajan autentikointiin. Samalla viitataan kuvion 3 signaa- 
lisekvenssikaavioon, jolla havainnollistetaan tiedonsiirtolaitteen kayttajan au- 
tentikoinnissa eri verkkoelementtien valilla lahetettavaa informaatiota. Kuvion 3 
selkiyttamiseksi palvelupiste 110 ja paasykontrolleri 112 on yhdistetty yhdeksi 
elementiksi, eika vierailtavan matkaviestinjarjestelman 126 ja kotimatkaviesti- 
jarjestelman 134 sisaisia elementteja kuvata. 

Menetelman suorittaminen aloitetaan 200:ssa kayttajan halutessa 
kayttaa palvelupistetta. 
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Aluksi 202-ssa muodostetaan tiedonsiirtolaitteella tiedonsiirtoyhteys 
palvelupisteeseen. Eraassa suoritusmuodossa tiedonsiirtolaitteen ja palvelu- 
pisteen valinen tiedonsiirtoyhteys on radioyhteys. Eraassa suoritusmuodossa 
radioyhteys on toteutettu langattomalla lahiverkolla. Eraassa suontusmuodos- 
sa radioyhteys on toteutettu lyhyen kantaman radiolahetinvastaanottime la. 
Eraassa suoritusmuodossa tiedonsiirtolaitteen ja palvelupisteen valinen tie- 
donsiirtoyhteys on langallinen. Naiden tiedonsiirtoyhteyden eri toteuttam.stapo- 

ien osalta viitataan aiempana olleeseen selostukseen. 

Sitten 204-88* sybtetaan 204 palvelupisteeseen matkaviestinjarjes- 
telman ti.aajan tunnistetieto. Eraassa suoritusmuodossa [^^^ 
man tilaaian tunnistetieto on matkaviestintilaajan kansa.nval.nen ISDN-nume- 
T£T* mukaisesti tiedonsiirtolaitteelta.100 INW MS.SDN 300 pal- 
velupisteelle/paasykontrollerille110, 112. 

Seuraavaksi 206:ssa tarkistetaan matkaviestinjarjestelmasta Uaajan 
tunnistetiedon kayttboikeus palvelupisteeseen. ErSassa suoritusmuodossa 
tarkistuksessa lahetetaan kysely matkaviestinjarjestelman kotirek,ster.,n. Suori- 
tusmuodossa, jossa matkaviestinjarjestelman tilaajan tunnistetieto on matka- 
viestintilaajan kansainvalinen ISDN-numero, voidaan kysely toteuttaa kuviossa 
3 kuvattavalla tavalla siten, etta kyselyssa selvitetaan ensin matkaviestinjarjes- 
, telman 134 kotirekisterista matkaviestintilaajan kansainva.ista ISDN—oa 
laTtaava kansainvSlisen matkaviestintilaajan tunnus (.MS,) kaytteen 
MAP SEND IMSI-viestia (MAP = matkapuhelinosaprotokolla, Mobile Applica- 
tion Fart) 304" 306 ja siihen saatavaa REPLY:* 308, 310, ja sitten selvitetaan 
tilaajatiedot, jotka sisaltavat kayttooikeuden maarittelyn, matkaviestinjarjestel- 
5 man 134 kotirekisterista kansainvalisen matkaviestintilaajan tunnuksen perus- 
to.Ha kayttaen MAP_RESTORE_DATA-viestia 312, 314 ja siihen saatavaa 
REPLY'S 316 318. Koska kuvion 3 esimerkissa tilaajapaatelaite 102 on v.erail- 
tavan matkaviestinjarjestelman 126 alueella, kulkevat viestit sen kautta koti- 
matkaviestinj§rjestelmaan134jasieltatakaisin. . 4 . e 

o Sitten 208 tarkistetaan oliko matkaviestinjarjestelman tilaajan tunn.s- 

tetiedoila kayttooikeus palvelupisteeseen. Jos kayttooikeutta ei ole, tai se e. ole 
voimassa, niin siirrytaan 210:een, jonka mukaisesti tiedonsiirtolaitteen kaytta- 
jalle ei voida tarjota palvelua palvelupisteen kautta, jolloin siirrytaan 220:een, 
jossa lopetetaan menetelman suoritus. 
}5 Jos kayttooikeus on voimassa, siirrytaan 208:sta 212:een, jossa ge- 

neroidaan salasana. Sitten siirrytaan 214:aan, jossa lahetetaan salasana mat- 
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kaviestinjarjestelman tilaajan tunnistetietoa vastaavaan tilaajapaatelaitteeseen. 
Eraassa suoritusmuodossa salasana lahetetaan tilaajapaatelaitteeseen paket- 
tikytkentaisena viestina. Eraassa suoritusmuodossa salasana lahetetaan tilaa- 
japaatelaitteeseen 102 lyhytsanomassa SMS 320, 322, 324, 326 kuviossa 3 
5 kuvattavalla tavalla alkaen autentikointioalvelimesta 114, vierailtavan matka- 
viestinjarjestelman 126, kotimatkaviestinjarjestelman 134 ja lopuksi viela vie- 
railtavan matkaviestinjarjestelman 126 kautta. Suoritusmuotoa voidaan muun- 

nella aiemmin esitetylla tavalla. 

Seuraavaksi 216:ssa sisaankirjaudutaan tiedonsiirtolaitteella palve- 
I0 lupisteeseen kayttaen salasanana tilaajapaatelaitteeseen toimitettua salasa- 
naa Kuviossa 3 tama kuvataan sisaankirjautumisdialogina, jossa kayttajatun- 
nus ja salasana lahetetaan tiedonsiirtolaitteelta 100 palvelupisteeseen/paasy- 
kpntrolleriin 110, 112 LOGIN-viestissa 328, joka edelleen valitetaan autenti- 
kointipalvelimeen 114 LOGIN-viestina 330, johon tulee palvelupisteeseen/paa- 
15 sykontrolleriin 110, 112 REPLY-viesti 332. Taman jalkeen 218:ssa tiedon- 
siirtolaitteen kayttaja voi kayttaa palvelupisteen kautta tiedonsiirtopalveluita. 
Palvelu toteutetaan siirtamalla SERVICE-viesteja 334 molempiin suuntnn, tar- 
peen mukaan, tiedonsiirtolaitteen 100 ja palvelupisteen/paasykontrollenn 110, 
112 valilla. Lopuksi kayttajan katkaistessa tiedonsiirtolaitteensa yhteyden pal- 
20 velupisteeseen lopetetaan menetelman suoritus 220:ssa. 

Eraassa suoritusmuodossa menetelma k^sittaa lisaksi: laskutetaan 
tiedonsiirtolaitteen ja palvelupisteen valinen tiedonsiirtoyhteys matkaviestinjar- 
jestelman tilaajan tunnistetiedolle osoitetussa laskussa. Kuvion 3 muka.sesti 
tama voidaan toteuttaa esimerkiksi siten, etta palvelupisteesta/paasykontrolle- 
25 rista 110, 112 siirretaan laskutustietoa sisaltava CDR-viesti 336, 338 autenti- 
kointipalvelimen 114 kautta kotimatkaviestinjarjestelmaan 134. 

Eraassa suoritusmuodossa aluksi muodostettu tiedonsiirtolaitteen ja 
palvelupisteen valinen tiedonsiirtoyhteys sailyy sisaankirjautumiseen saakka. 
Talla saavutetaan edella kuvattu tietoturvaetu. 
30 Eraassa suoritusmuodossa menetelma kasittaa lisaksi: lahetetaan 

palvelupisteesta toinen salasana tiedonsiirtolaitteelle tiedonsiirtoyhteytta kayt- 
taen, ja sisaankirjautumisessa kaytetaan my6s toista salasanaa. Myos tama 
suoritusmuoto parantaa edella kuvatulla tavalla tietoturvaa. 

Eraassa suoritusmuodossa menetelma kasittaa lisaksi: lahetetaan 
35 palvelupisteesta varmennustunniste tiedonsiirtolaitteelle tiedonsiirtoyhteytta 
kayttaen, ja salasanan lahetyksen yhteydessa tilaajapaatelaitteelle lahetetaan 
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sama varmennustunniste, ja kaytetaan salasanaa vain jos molemmat vastaan- 
otetut varmennustunnisteet ovat samat. Tamakin suoritusmuoto kuvatti.n jo 

aikaisemmin. ... 

Eraassa suoritusmuodossa menetelma kasittaa lisaksi: kaytetaan 
sisaankirjauduttaessa kayttajatunnuksena matkaviestinjarjestelman tilaajan 
tunnistetietoa. Eraassa suoritusmuodossa menetelma kasittaa lisaksi: lahete- 
taan kayttajatunnus matkaviestinjarjestelman tilaajan tunnistetietoa vastaavaan 
tilaajapaatelaitteeseen, ja kaytetaan sisaankirjauduttaessa kayttajatunnuksena 
lahetettya kayttajatunnusta. Eraassa suoritusmuodossa menetelma kasittaa 
lisaksi- lahetetaan kayttajatunnus tiedonsiirtolaitteelle tiedonsiirtoyhteytta kayt- 
taen, ja kaytetaan sisaankirjauduttaessa kayttajatunnuksena lahetettya kaytta- 
jatunnusta. • - , • A 
Menetelman toteuttamiseen voidaan kayttaa aikaisemmin kuvion 1 
yhteydessa kuvattua jarjestelmaa, mutta muunkinlaiset ymparist6t voivat tulla 

Vajkka keksint6 a on edella selostettu viitaten oheisten piirustusten 
mukaiseen esimerkkiin, on selvaa, ettei keksinto ole rajoittunut siihen, vaan 
sita voidaan muunnella monin tavoin oheisten patenttivaatimusten esittaman 
keksinnollisen ajatuksen puitteissa. Erityisesti on huomattava, etta verkkoele- 
20 menttien nimet ja toiminnallisuuksien jako voi vaihdella, lopultahan on vain ky- 
se halutusta verkkoelementtien integrointiasteesta, ja myos tiedonsi.rtoverkon 
118 koosta- suurissa verkoissa verkkoelementti voi olla dedikoitu vain tietyille 
tehtaville, kun taas pienissa verkoissa yksi verkkoelementti voi hoitaa useita 
kuviossa 1 erillisiksi kuvattuja tehtavia. 
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Patenttivaatimukset 

1. Menetelma tiedonsiirtolaitteen kayttajan autentikointiin, joka me- 
netelma kasittaa: 

muodostetaan (202) tiedonsiirtolaitteella tiedonsiirtoyhteys palvelu- 

5 pisteeseen; 

tunnettu siita, etta menetelma kasittaa lisaksi: 

syotetaan (204) palvelupisteeseen matkaviestinjarjestelman tilaajan 

tunnistetieto; 

tarkistetaan (206) matkaviestinjarjestelmasta matkaviestinjarjestel- 
10 man tilaajan tunnistetiedon kayttSoikeus palvelupisteeseen; ja 

jos kayttooikeus on voimassa, generoidaan (212) salasana, lahete- 
taan (214) salasana matkaviestlnjarjestelman tilaajan tunnistetietoa vastaa- 
vaan tilaajapaatelaitteeseen, ja sisaankirjaudutaan (216) tiedonsiirtolaitteella 
palvelupisteeseen kayttaen salasanana tilaajapaatelaitteeseen toimitettua sa- 
15 lasanaa. 

2. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta matkaviestinjarjestelman tilaajan tunnistetieto on matkaviestintilaajan kan- 
sainvalinen ISDN-numero (MSISDN). 

3. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
20 etta tarkistuksessa lahetetaan kysely matkaviestinjarjestelman kotirekisteriin. 

4. Patenttivaatimuksen 3 mukainen menetelma, tunnettu siita, 
etta matkaviestinjarjestelman tilaajan tunnistetieto on matkaviestintilaajan kan- 
sainvalinen ISDN-numero, ja kyselyssa selvitetaan ensin matkaviestinjarjes- 
telman kotirekisterista matkaviestintilaajan kansainvalista ISDN-numeroa vas- 

25 taava kansainvalisen matkaviestintilaajan tunnus (IMSI), ja sitten selvitetaan 
tilaajatiedot, jotka sisaltavat kayttfioikeuden maarittelyn, matkaviestinjarjestel- 
man kotirekisterista kansainvalisen matkaviestintilaajan tunnuksen perusteella. 

5. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta salasana lahetetaan tilaajapaatelaitteeseen pakettikytkentaisena viestina. 

30 6. Patenttivaatimuksen 1 mukainen menetelma, tu n nettu siita, 

etta salasana lahetetaSn tilaajapaatelaitteeseen lyhytsanomassa. 

7. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta tiedonsiirtolaitteen ja palvelupisteen valinen tiedonsiirtoyhteys on radioyh- 
teys. 

35 8. Patenttivaatimuksen 7 mukainen menetelma, tunnettu siita, 

etta radioyhteys on toteutettu langattomalla lahiverkolla. 
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9. Patenttivaatimuksen 7 mukainen menetelma, tunnettu siita, 
etta radioyhteys on toteutettu lyhyen kantaman radiolahetinvastaanottimeila. 

10. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta tiedonsiirtolaitteen ja palvelupisteen vaiinen tiedonsiirtoyhteys on langalli- 

nen. . 

1 1 . Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 

etta menetelma kasittaa lisaksi: laskutetaan tiedonsiirtolaitteen ja palvelupis- 
teen vaiinen tiedonsiirtoyhteys matkaviestinjarjestelman tilaajan tunnistetiedol- 

le osoitetussa laskussa. 

12. Patenttivaatimuksen 1 mukainen menetelma, tu n n ett u siita, 
etta aluksi muodostettu tiedonsiirtolaitteen ja palvelupisteen vaiinen tiedonsiir- 
toyhteys sailyy sisaankirjautumiseen saakka.. 

13. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta menetelma kasittaa lisaksi: lahetetaan palvelupisteesta toinen salasana 
tiedonsiirtolaitteelle tiedonsiirtoyhteytta kayttaen, ja sisaankirjautumisessa kay- 

tetaan myos toista salasanaa. 

14. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta menetelma kasittaa lisaksi: lahetetaan palvelupisteesta varmennustunnis- 
te tiedonsiirtolaitteelle tiedonsiirtoyhteytta kayttaen, ja salasanan lahetyksen 
yhteydessa tilaajapaatelaitteelle l§hetetaan sama varmennustunniste, ja kayte- 
taan salasanaa vain jos molemmat vastaanotetut varmennustunnisteet ovat 
ssmat. 

15. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta tiedonsiirtolaitteen ja palvelupisteen vaiinen tiedonsiirtoyhteys muodoste- 

25 taan tilaajapaatelaitteen verkkovierailun aikana. 

16. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta menetelma kasittaa lisaksi: kaytetaan sisaankirjauduttaessa kayttajatun- 
nuksena matkaviestinjarjestelman tilaajan tunnistetietoa. 

17 Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
30 etta menetelma kasittaa lisaksi: lahetetaan kayttajatunnus matkaviestinjarjes- 
telman tilaajan tunnistetietoa vastaavaan tilaajapaatelaitteeseen, ja kaytetaan 
sisaankirjauduttaessa kayttajatunnuksena lahetettya kayttajatunnusta. 

18. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta menetelma kasittaa lisaksi: lahetetaan kayttajatunnus tiedonsiirtolaitteelle 
35 tiedonsiirtoyhteytta kayttaen, ja kaytetaan sisaankirjauduttaessa kayttajatun- 
nuksena lahetettya kayttajatunnusta. 
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19. Jarjestelma tiedonsiirtolaitteen kayttajan autentikointiin, joka jar- 
jestelma kasittaa tiedonsiirtolaitteen (100), tiedonsiirtolaitteeseen (100) en- 
simmaisella tiedonsiirtoyhteydella (102) kytkettavissa olevan palvelupisteen 
(110), ja palvelupisteeseen (110) toisen tiedonsiirtoyhteyden valityksella kytke- 
5 tyn autentikointipalvelimen (114); 

tunnettu siita, etta: 

palvelupiste (110) on konfiguroitu vastaanottamaan ensimmaista 
tiedonsiirtoyhteytta (106) pitkin tiedonsiirtolaitteella (100) syotetty matkaviestin- 
jarjestelman tilaajan tunnistetieto, ja lahettamaan matkaviestinjarjestelman t.- 
10 laajan tunnistetieto toista tiedonsiirtoyhteytta pitkin autentikointipaivel.melle 
(1 14); 

autentikointipalvelin (114) on kontlguroitu tarkistamaan kolmatta tie- 
donsiirtoyhteytta kayttaen matkaviestinjarjestelmasta (134) matkaviestinjarjes- 
telman tilaajan tunnistetiedon kayttaoikeus palvelupisteeseen (110), ja jos 
15 kayttooikeus on voimassa, generoimaan salasana ja lahettamaan salasana 
matkaviestinjarjestelman (1 34) tilaajan tunnistetietoa vastaavaan tHaajapaate- 

laitteeseen (102); ja 

tiedonsiirtolaite (100) on konfiguroitu palvelupisteeseen (110) si- 
saankinauduttaessa kayttamaan salasanana tilaajapaatelaitteeseen (102) toi- 

20 mitettua salasanaa. 

20. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
ta, etta matkaviestinjarjestelman (134) tilaajan tunnistetieto on matkaviestin- 
tilaajan kansainvalinen ISDN-numero. 

21 . Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sn- 
25 ta, etta autentikointipalvelin (1 14) on AAA-palvelin (Authentication, Authorizati- 
on, and Accounting). 

22. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
ta, etta autentikointipalvelin (114) on palvelupisteen (110) kayttooikeuden tar- 
kistamiseksi konfiguroitu lahettamaan kysely matkaviestinjarjestelman (134) 

30 kotirekisteriin (130). 

23. Patenttivaatimuksen 22 mukainen jarjestelma, tunnettu sh- 
ta etta matkaviestinjarjestelman (134) tilaajan tunnistetieto on matkaviestinti- 
laajan kansainvalinen ISDN-numero, ja autentikointipalvelin (114) on konfigu- 
roitu kyselyssa ensin selvittamaan matkaviestinjarjestelman (134) kotirekiste- 

35 rista (130) matkaviestintilaajan kansainvalista ISDN-numeroa vastaavan kan- 
sainvalisen matkaviestintilaajan tunnuksen, ja sitten selvittamaan tilaajatiedot, 
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jotka sisaltavat kayttooikeuden maarittelyn, matkaviestinjarjestelman (134) ko- 
tirekisterista (130) kansainvalisen matkaviestintilaajan tunnuksen perusteella. 

24. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
ta, etta autentikointipalvelin (114) on konfiguroitu lahettamaan salasana tilaa- 

5 japaatelaitteeseen (1 02) pakettikytkentaisena viestina. 

25. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
ta, etta autentikointipalvelin (114) on konfiguroitu lahettamaan salasana tilaa- 
japaatelaitteeseen (102) lyhytsanomassa. 

26. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
10 ta, etta ensimmainen tiedonsiirtoyhteys (1 06) on radioyhteys. 

27. Patenttivaatimuksen 26 mukainen jarjestelma, tunnettu sii- 
ta, etta palvelupiste (110) on konfiguroitu toteuttamaan radioyhteys langatto- 
malla lahiverkolla. 

28. Patenttivaatimuksen 26 mukainen jarjestelma, tunnettu sii- 
15 ta, etta palvelupiste (110) kasittaa lyhyen kantaman radiolahetinvastaanotti- 

men radioyhteyden toteuttamiseksi. 

29. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
ta, etta ensimmainen tiedonsiirtoyhteys (1 06) on langallinen. 

30. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
20 ta, etta jarjestelma kasittaa lisaksi laskutuspalveiimen (116). joka on konfiguroi- 
tu muodostamaan ensimmaisen tiedonsiirtoyhteyden (106) laskutustiedot, ja 
siirtamaan laskutustiedot matkaviestinjarjestelmaan (134), jossa laskutustiedot 
laskutetaan matkaviestinjarjestelman (134) tilaajan tunnistetiedolle osoitetussa 
laskussa. 

25 31 . Patenttivaatimuksen 1 9 mukainen jarjestelma, tunnettu sii- 

ta, etta palvelupiste (110) on konfiguroitu sailyttamaan aluksi muodostettu tie- 
donsiirtolaitteen (100) ja palvelupisteen (110) valinen ensimmainen tiedonsiir- 
toyhteys (106) sisaankirjautumiseen saakka. 

32. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
30 ta, etta autentikointipalvelin (1 14) on konfiguroitu lahettamaan palvelupisteesta 

(110) toinen salasana tiedonsiirtolaitteelle (100) ensimmaista tiedonsiirto- 
yhteytta (106) kayttaen, ja tiedonsiirtolaite (100) on konfiguroitu kayttamaan 
sisaankirjautumisessa myos toista salasanaa. 

33. Patenttivaatimuksen 19 mukainen jarjestelma, tunnettu sii- 
35 ta, etta autentikointipalvelin (114) on konfiguroitu lahettamaan palvelupisteen 

(110) valityksella varmennustunniste tiedonsiirtolaitteelle (100) ensimmaista 



18 



fledonsiirtoyhteytta (106) kayttaen, ja lahettamaan salasanan lahetyksen yh- 
teydessatilaajapaatelaitte e lle(102)samavarmennustunn l ste. 

34 Patenttivaatimuksen 1 9 mukainen jarjestelma, t u n n e 1 1 u s.i- 
ta, etta ensimmainen tiedonsiirtoyhteys (106) muodostetaan tilaajapaatelart- 

5 teen (102) verkkovlerailun aikana. „.„„„♦.„ S n. 

35 Patenttivaatimuksen 19 mukainen janestelma, tunnettu su 
ta etta fledonsiirtolaite (100) on konflguroitu palveiupisteeseen 01°> sis ^ 
jauduttaessa kayttamaan kayttajatunnuksena matkaviestinjarjestelman Alaajan 

tunnistettetoa. ^^^^^ 19 mukaine n jaijestelma, tunnettu sil- 
ta etta autentikointipalvelin (114) on konflguroitu lahettamaan kayttajatunnus 
matkaviestinjarjestelman (134) tilaajan tunnistetietoa vastaavaan 
Leeseen (102), Ja ttedonsiirtolafle (100) on konflguroitu W« 
(110) sisaankirjauduttaessa kayttamaan kayttajatunnuksena Waajapaatelart- 
ib teeseen(102)toimitettuakayttajatunnusta. 

15 teeseen(1 37 ' patenttjvaatimuksen 19 muk ainen janestelma, tunnettu su- 
ta etta autentikointipalvelin (114) on konflguroitu lahettamaan P^upisteer, 
010) valrtykseiia kayttajatunnus fledonsiirtolattteelle (100) ens,mma,sta ttedon- 
S£L d«) * tiedonsiirtoiafle (100) on konflguroflu palve^s- 

20 teeseen 010) sisaankirjauduttaessa kayttamaan kayttajatunnuksena tiedon- 
siirtolaitteeseen (100) toimitettua kayttajatunnusta. 



(57) Tiivistelma 

Keksinnon kohteena on menetelma ja jarjestelma tiedon- 
siirtolaitteen (esimerkiksi langattoman lahiverkon, eli 
WLAN:in, paatelaite) kayttajan autentikointiin. Menetel- 
mass§ muodostetaan (202) tiedonsiirtolaitteella tiedonsiir- 
toyhteys palvelupisteeseen. Sitten syotetaan (204) palve- 
lupisteeseen matkaviestinjarjestelman tilaajan tunnistetieto 
(esimerkiksi MSISDN). Taman jalkeen tarkistetaan (206) 
matkaviestinjarjestelmasta matkaviestinjarjestelman tilaa- 
jan tunnistetiedon kayttooikeus palvelupisteeseen. Jos 
kayttooikeus on voimassa, generoidaan (212) salasana, 
lahetetaan (214) salasana matkaviestinjarjestelman tilaa- 
jan tunnistetietoa vastaavaan tilaajapaatelaitteeseen (esi- 
merkiksi GSM-matkapuhelimeen), ja sisaankirjaudutaan 
(216) tiedonsiirtolaitteella palvelupisteeseen kayttaen sa- 
lasanana tilaajapaatelaitteeseen toimitettua salasanaa. 



(Kuvio 2) 
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